Sunuyu indir
Sunum yükleniyor. Lütfen bekleyiniz
YayınlayanLiana Utami Susanto Değiştirilmiş 6 yıl önce
1
Mustafa KILINÇ Şükrü TİKVEŞ Turgay ÇELİK Danışman: Kerem ERZURUMLU
TCP/IP Ve NETFILTER TCP/IP, Ağ güvenliği ve NETFILTER kavramlarına bir giriş... Mustafa KILINÇ Şükrü TİKVEŞ Turgay ÇELİK Danışman: Kerem ERZURUMLU 11/19/2018
2
TCP/IP Ağ yapıları ve adresleme IP TCP Diğer protokoller
Kullanım alanları 11/19/2018
3
Ağ Yapısı ve Adresleme Birden fazla cihazın haberleşmesini sağlayan yapılardır İhtiyaca göre çeşitli biçimlerde bulunurlar Aynı veya farklı tür cihazlar bulunabilir Her cihazın en az bir adresi vardır Aynı fiziksel yapıda birden fazla mantıksal ağ (ve adres) bulunabilir 11/19/2018
4
Ağ Yapıları Ring Star Bus Hızı yüksek, fakat hata bağımlılığı fazla
Yerel ağlarda az kullanılıyor Genelde FDDI şeklinde kampus omurgalarında kullanılıyor Star Cihazlar merkezi bir “HUB” ile bağlı Bütün bilgiler cihazlarla “HUB” arasında gidip geliyor Cihaz ekleyip çıkarmak sorunsuz Genelde yerel ağlarda kullanılıyor. Bus Bütün cihazlar tek bir kabloya bağlı Geniş ağlarda kullanılıyor Sorun çıkma olasılığı yüksek 11/19/2018
5
Alt Ağlar Geniş ağlar, fiziksel veya mantıksal alt ağlara ayrılırlar
İki ağ arasında fiziksel birlikteliği sağlayan “köprüler” bulunur İki ağ arasında mantıksal birlikteliği ağ protokolü sağlar 11/19/2018
6
Internet Çok sayıda ağın birleşmesinden oluşur.
Internet'e bağlı tüm cihazların bir adresi vardır ve bu adreslerle herhangi diğer bir cihaza erişebilir. 11/19/2018
7
IP (Internet Protocol)
Internet'in temel ve vazgeçilmez protokolüdür ARPA NET için geliştirilmiş, genişleyebilme özelliği sayesinde, her yerde kullanılmaya başlanmıştır Yerel ve geniş ağlarda adresleme ve paket iletimini sağlar Çok sayıda üst ve alt protokol ile çalışır 11/19/2018
8
TCP İki nokta arasında güvenilir, bağlantı tabanlı veri transferini sağlar Adresleme ve yönlendirme ile ilgilenmez IP üzerinde çalışır Internet üzerindeki çoğu servis (FTP, WEB, POP3, NFS, X) TCP ile çalışır 11/19/2018
9
Diğer Protokoller UDP: Bir noktadan, güvenilir olmayan, “paket” transferini sağlar ICMP: IP tarafından hata ve bilgi mesajlarının taşınmasında kullanılır IGMP: Multicast (birden-çoğa) UDP transferi kontrolünde kullanılır ARP: IP adreslerinin donanım adreslerine çevrimini sağlar 11/19/2018
10
IP Adresleme Internet ve yerel TCP/IP ağlarına bağlı tüm cihazların bir “IP adresi” bulunur 11/19/2018
11
Yerel IP Adresleri Bir cihaz kendisi ile aynı yerel ağ üzerinde olan diğer cihazlara, direk olarak erişebilir 11/19/2018
12
Dış IP Adresleri Cihazlar kendi yerel ağlarında olmayan adreslere, önceden tanımlı bir “router” (yönlendirici) üzerinden erişirler. 11/19/2018
13
Geri Yönlendirme Bir router, iki farklı ağ arasında ileri ve geri taşıma yaptığı için, her iki ağda da tanımlı olmalıdır (her iki ağda da adresi olmalıdır). Router dahil tüm cihazların ayrı ağlardaki adresleri, birbirinden farklı olmalıdır. 11/19/2018
14
Ağ Maskesi Her cihaz kendi IP adresi ile beraber, bulunduğu ağ üzerindeki IP adreslerini de bilmelidir Bu amaçla IP adreslerinin ne kadarının ortak olduğunu belirten “Ağ Maskeleri” kullanılır. 11/19/2018
15
Özel Adresler Her ağın bir ağ adresi ve bir de “yayın” adresi bulunur
Ağ adresi ağı tanımlamada, Yayın adresi ağdaki tüm makinalara aynı anda erişmede kullanılır Ağdaki ilk adres ağ adresi, Son adres yayın adresidir 11/19/2018
16
Tanımlı Ağlar A tipi: Geniş ağlarda kullanılır. 16 milyon adres içerirler [1 – 126 ile başlar] B tipi: Büyük ve orta büyüklüklü ağlarda kullanılır. 65 milyon adres içerirler [128 – 191 ile başlar] C tipi: Küçük ağlarda kullanılır. 256 adres içerirler [192 – 223 ile başlar] D ve E tipi: “multicast” ve ayrılmış ağlardır 11/19/2018
17
Serbest Adresler Ağlarda özel amaçlı kullanılması için bir kısım IP adresleri serbest bırakılmıştır. Bu adresler Internet üzerinde geçersizdir. 10. A sınıfı ağı ( /8) B sınıfı ağı ( /16) *. C sınıfı ağları ( *.0/24) 11/19/2018
18
Yönlendirme Bir paketin iki adres arasında taşınmasında “yönlendirme tabloları” kullanılır. Normal bir aygıt için bu tablo, sadece yerel adresleri ARP kullanarak göndermesini, geri kalanları router’a yönlendirmesini söyler Fakat router’lar bağlı bulundukları ağ ile beraber, komşu router’ları ve bunların bağlı bulundukları ağların bilgisini içeren büyük tablolar tutarlar Bu tablolar sayesinde bir paket karıştırılmadan hedefine taşınır. Eğer bir paketin adresi tabloda tanımlı değilse, bunu farkeden router geri haber verir ve bu bilgi paketi ilk gönderene kadar taşınır 11/19/2018
19
Örnek Yönlendirme Tablosu
Yukarıdaki tabloda, 127. ile başlayan adresler makinaya geri dönmekte ile başlayan adresler ilk ethernet kartına ile başlayan adresler ikinci ethernet kartına Geri kalan adresler modem ile bağlı olunan router’a gönderilmektedir 11/19/2018
20
Ağ Güvenliği Ağların korunması gerekir. Çünkü,
Veri ve kaynaklarımızı paylaşmak istemeyiz Veri ve kaynaklarımızın dışarıya karşı güvenliğini sağlamak isteriz Ağımızdaki dış işlemleri sınırlandırmak isteyebiliriz. Bu amaçla, firewall kurulumunu da içeren bir dizi önlem alırız 11/19/2018
21
Kaynakların Gizliliği
Gizli ve paylaşmak istemediğimiz kaynaklar vardır. Belgeler, Internet erişimi, disk alanı bunların içinde sayılabilir. Bunlar içerdekilerin kötü niyeti, kullanılan sistemin güvenlik ayarlarının yanlış yapılması veya güvenlik hataları bulunması sebebiyle, dışarıdan erişilebilirler. 11/19/2018
22
Kaynakların Güvenliği
Ağımızdaki sistemlerin, dışarıdakiler tarafından zarar görmesini istemeyiz. Bu bizzat şahıslar tarafından yapılabilineceği gibi, virüs, kurtçuk (worm), vb. programlarla, büyük düzeyde de gerçekleşebilir. Bunlar sistemin bozulmasını veya yavaş ve sorunlu çalışmasını sağlayabilirler. 11/19/2018
23
Sınırlandırma Ağ içerisindeki dışarıya yönelik işlemleri sınırlandırmak isteyebiliriz. Mesela, Sınırlı olan bant genişliğinin, büyük dosya transferleri ile israf edilmesini, veya iş saatleri esnasında insanların oyun oynamasını veya şahsi mailleri ile ilgilenmelerini, veya, bir ilkokulda “uygunsuz” sitelere girilmesini, engellemek isteyebiliriz. 11/19/2018
24
Şifreleme Servislere erişim için şifre isteyebiliriz.
Bu yöntem çoğu zaman etkili olsa da tek başına yeterli değildir. Özellikle program açıkları veya bilinçsiz kullanıcılar sorun oluşturur. 11/19/2018
25
IP Kısıtlaması Ek bir önlem olarak, verilen servisleri sadece belirli IP adresleri için geçerli olacak şekilde ayarlarız. Fakat program hataları veya saldırganların, IP adresleri konusunda yalan söylemesi, bu yöntemi de yetersiz kılar. 11/19/2018
26
“IP Spoofing” Saldırganlar, kendilerini yerel ağınızdaki bir adrese sahip gibi gösterebilirler Bu durumda IP adresi tabanlı güvenlik sistemleri faydalı olmaz 11/19/2018
27
Program Hataları Her programın bir hatası vardır.
Ve bu hatalar, saldırganların sisteminizdeki diğer servislere de ulaşabilmesini sağlayabilir. Bir sistemin güvenliği o sistemdeki en zayıf program ile ölçülür. 11/19/2018
28
Firewall Bir ağı dış etkilerden koruma amaçlı cihazlardır
Router üzerine veya router ile ağ arasına yerleştirilir Ciddi güvenlik isteyen ağlar için kaçınılmazdır 11/19/2018
29
Firewall Güvenlidir Çünkü;
Bulunduğu konum itibariyle tüm ağ trafiğine hükmeder Üzerinde çalışan yazılımlar güvenlik öncelikli yazılmıştır Üzerinde gerekli olmayan, dolayısıyla güvenlik hatası olabilecek program çalışmamaktadır Standard kurulumda, güvenlik ayarları en sıkı seviyededir Kullanıcıların yaptıkları kötü seçimlerden bağımsızdır 11/19/2018
30
NetFilter / IPTables NetFilter nedir? Geçmiş uygulamalar
NetFilter mimarisi Temel kullanımı Masquerading ve NAT 11/19/2018
31
NetFilter Nedir? NetFilter, Linux 2.4 serisi için hazırlanmış, esnek, güvenilir ve gelişmiş bir IP filtremele / firewall paketidir Esnek kural dizileri yazılmasına izin verir Modüller ile her parçası geliştirilebilir Kullanıcı programları ile ortak çalışma imkanına sahiptir Geniş bir paket tanıma ve işlem yapma kütüphanesi vardır Gerçek NAT destekler 11/19/2018
32
Geçmiş Uygulamalar NetFilter ortaya çıkmadan,
Linux 2 öncesinde BSD’den çevrilen ipf Linux 2.0 serisinde ipfwadm Linux 2.2 serisinde ipchains kullanılmıştır 11/19/2018
33
NetFilter Mimarisi Makinaya gelen, makinadan çıkan veya makina üzerinden yönlendirilecek paketler hazırlanan tablolara göre işlenir Her tablo bir kısım önceden tanımlı zincirler içerir. Ayrıca kullanıcı tanımlı zincirler bulunabilir Her zincir bir kısım kuraldan oluşmuştur Bu işlemlerin sonucuna göre paketler “hedeflere” ulaşırlar 11/19/2018
34
NetFilter Kavramları PAKET: Bir makinaya gelen veya ondan çıkan en küçük ağ veri birimi TABLO: Yapılacak işe göre paketlerin işlenmesini sağlayan bağımsız yapılar ZİNCİR: Paketlerin kaderlerine karar verilmesi için geçecekleri kural dizisi KURAL: Belli özellikteki paketler için karar verilmesini sağlayan ifadeler HEDEF: Paketlerin hakkında olası verilebilinecek kararlar 11/19/2018
35
Tanımlı Tablolar filter: Varsayılan tablo. INPUT FORWARD ve OUTPUT zincirlerini içerir nat: Yeni bağlantı açan paketler için. PREROUTING, OUTPUT ve POSTROUTING zincirlerini içerir mangle: Özel paket “kurcalama” amaçlıdır. PREROUTING ve OUTPUT zincirlerini içerir 11/19/2018
36
Temel Hedefler ACCEPT: Paketin kabul edilmesini sağlar
REJECT: Paketin reddedilip, geri bilgi verilmesini sağlar DROP: Paketin işlenmeyip, gözardı edilmesini sağlar REDIRECT: Paketin makinadaki bir servise gönderilmesini sağlar (sadece NAT için geçerli, “saydam proxy” amaçlı) 11/19/2018
37
Diğer Hedefler LOG: Paketin sistem günlüğüne kaydedilmesini sağlar
ULOG: Paketin kullanıcı programına aktarılmasını sağlar RETURN: Paketin bir önceki zincire geri dönmesini sağlar (fonksiyon dönüşü) MARK: Paketi daha fazla işleme tabi tutulması için işaretler (blok yapısı gibi) MIRROR: Paketi geri gönderir 11/19/2018
38
Hedef Zincir ve Tablolar
Zincir ve tablolar da hedef olarak kullanılabilir. Bunun kullanımı en sık NAT tablosu içindir. Ayrıca aynı tablo içindeki ek zincirler “alt fonksiyon” gibi kullanılabilir. 11/19/2018
39
Zincirler Zincirler sistem yöneticisi tarafından hazırlanan kural dizileridir Her zincirin “varsayılan” bir hedefi vardır. Bu başlangıçta ACCEPT’tir Sistemde önceden, INPUT: Gelen paketler OUTPUT: Çıkan paketler FORWARD: İletilen paketler zincirleri tanımlıdır 11/19/2018
40
Kurallar Her zincir 0 veya daha fazla kural içerir
Kurallar, belirli kriterlere göre paketleri yakalarlar Yakalanan paketler, istenilen hedeflere gönderirlir. Bu hedeflerin bir kısmı paketin zincirden çıkmasını sağlar 11/19/2018
41
NetFilter Kurulumu Linux Çekirdeğinde
CONFIG_FILTER CONFIG_NETFILTER CONFIG_IP_NF_IPTABLES ve istenilen ek moduller açılır netfilter tablolarını düzenlemekte kullanılan “iptables” programı bulunmaktadır 11/19/2018
42
Temel Kullanımı iptables programı
-P ile zincirin varsayılan hedefini seçer -A ile zincire bir kural ekler -D ile zincirden bir kural siler -N ile yeni bir zincir oluşturur -X ile bir zincir siler -L ile seçilen zincirdeki kuralları listeler 11/19/2018
43
Masquerading Birden çok makinanın aynı IP adresini kullanmasını sağlar
Aşağıda basit bir Masquerading konfigürasyonu gösterilmiştir 11/19/2018
44
NAT NAT, Masquerading yönteminin genel ve çift yönlü halidir
Ağ üzerinde kullanılan özel IP adresleri ve ağa ait bir miktar “gerçek” IP adresi vardır Ağ içerisindeki cihazlardan biri dışarıya erişeceği zaman, boş bir “gerçek” IP adresi ile eşlenir Kullanım bitince “gerçek” IP adresi tekrar kullanılmak üzere “boş” durumuna döner 11/19/2018
45
Yük Dengeleme NAT kullanımının içeriye yönelik olanıdır
Aynı servisi veren birden çok sunucu için tek bir “gerçek” IP adresi bulunur NAT hizmet isteği geldikçe, hedef adresi bu sunuculardan birine yöneltir Böylelikle tek bir sunucu ile karşılanamayak yük karşılanır 11/19/2018
46
Gelecek VLAN (IPSec, Tunnelling) IPv6 11/19/2018
47
IP Güvensizdir IP, verileri “açık” olarak iletir. Güvenlik için aradaki taşıyıcılara güvenir Dışarıdan birisi, firewall kuralları sağlamsa, trafiği izleyemez veya değştiremez Fakat, bir yerel ağa veya routera erişimi olan herkes verileri izleyip, onları değiştirebilir 11/19/2018
48
Tunneling Bu amaçla kritik uygulamalarda iki nokta arasında tünel denilen güvenli bağlantılar kurulur Bu bağlantılar HTTP gibi protokolleri taşırlar Fakat IP üzerine ek bir katman olarak gelen bu tüneller veriyi gizler ve karşı tarafı tanır 11/19/2018
49
VLAN Eğer bu tüneller bir servis için değil, fakat iki ağı bağlamak için ise VLAN adını alır VLAN içindeki makinalar bir yerel ağa bağlı gibi çalışırlar VLAN’ın fiziksel parçaları arasındaki trafik, güvensiz IP katmanı üzerine kurulan, tüneller vasıtasıyla taşınır 11/19/2018
50
Adres Yetersizliği Özellikle B tipi adresler yüzünden olası 4 milyarlık adres alanı israf edilmiştir ve adres sıkıntısı çekilmektedir Şu anda geçici çözümler oluşturulmuş olsa da, bunlar genellikle çok büyük yönlendirme tabloları gibi sorunlara yol açmaktadır 11/19/2018
51
IPv6 IPv6, Internet protokolünün altıncı sürümüdür
En önemli özelliği 128 bit adres alanına sahip olmasıdır Dolayısıyla dünyadaki herkes, şu an Internete bağlı tüm cihazların sayısı kadar adres alsa yeterli olacaktır 11/19/2018
52
Diğer IPv6 Özellikleri IPv6 IPSec katmanını içermektedir.
IPv6 paketleri, sabit uzunlukta ve kolay işlenebilir başlıklara sahiptir IPv6 Gigabit ethernet gibi yüksek hızdaki teknolojilerden en iyi faydalanacak şekilde hazırlanmıştır IPv6 sorunsuz şekilde IPv4’den geçisi sağlar. Sistemlerin bir geçiş sürecinde kapalı kalması gerekmez 11/19/2018
53
Katılımcılarımıza Teşekkür Ederiz...
TCP/IP Ve NETFILTER Katılımcılarımıza Teşekkür Ederiz... 11/19/2018
Benzer bir sunumlar
© 2024 SlidePlayer.biz.tr Inc.
All rights reserved.